Erlang/OTP 27.x < 27.3.4.10 / 28.x < 28.4.2 OCSP 証明書検証のバイパスCVE-2026-32144
high Nessus プラグイン ID 305687
Language:
概要
リモートホストは、証明書検証バイパスの脆弱性の影響を受けます。説明
リモートホストにインストールされている Erlang/OTP のバージョンは、 27.3.4.10 より前の 27.x または 28.x28.4.2] より前の です。したがって、証明書検証バイパスの脆弱性の影響を受けます- public_key アプリケーションの OCSP 応答検証での不適切な証明書検証により、OCSP 応答を傍受またはコントロールできる攻撃者が、失効した証明書を有効としてマークする応答を偽造する可能性があります。OCSP 応答検証は、CA 指定のレスポンダー証明書が発行元の CA によって暗号署名されたことを検証せず、レスポンダー証明書の発行者の名前と OCSPSigning 拡張キーの使用率をチェックするだけです。
(CVE-2026-32144)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Erlang/OTPバージョン 27.3.4.10、 28.4.2、以降にアップグレードしてください。参考資料
https://github.com/erlang/otp/security/advisories/GHSA-gxrm-pf64-99xm
プラグインの詳細
深刻度: High
ID: 305687
ファイル名: erlang_otp_CVE-2026-32144.nasl
バージョン: 1.1
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/4/9
更新日: 2026/4/9
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: Medium
基本値: 5.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2026-32144
CVSS v3
リスクファクター: High
基本値: 7.4
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
CVSS v4
リスクファクター: High
Base Score: 7.6
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:L/SI:L/SA:N
脆弱性情報
CPE: cpe:/a:erlang:erlang%2fotp
必要な KB アイテム: installed_sw/Erlang-OTP
パッチ公開日: 2026/4/7
脆弱性公開日: 2026/4/7
参照情報
CVE: CVE-2026-32144